Die Top 10 der Sicherheitslücken für Webentwickler

Die Sicherheitsexperten des Open Web Application Security Project (OWASP) haben ihre Top-10-Liste der Schwachstellen in Webapplikationen aktualisiert. Frühere Ranglisten des OWASP gab es 2007 und 2004. Laut Dave Wichers, der dem Vorstand der Community angehört, soll die überarbeitete Liste aufzeigen, dass sich das Projekt nicht nur mit Schwachstellen, sondern auch mit Risiken auseinandersetzt.

Versuche, Sicherheitslücken zu priorisieren, ohne den Kontext herzustellen, ergäben keinen Sinn, meint Wichers. Die neue Konzentration auch auf denkbare Risiken soll Organisationen helfen, zu einem ausgereifteren Verständnis zur Anwendungssicherheit zu kommen sowie den sicheren Umgang mit derselben zu erleichtern.

Für das 22-seitige 2010er-Update hat OWASP eigenen Angaben zufolge mehr Informationsmaterial zu Sicherheitslücken in Webanwendungen herangezogen. Auch will die Organisation eine übersichtlichere Darstellung der Informationen anbieten und mehr Bezüge zu unterschiedlichen frei verfügbaren Referenzen herstellen, zum Beispiel zu den OWASP-eigenen Projekten Enterprise Security API (ESAPI) und Application Security Verfication Standard (ASVS).

Bei den zehn Risiken für Webentwickler, die laut OWASP 2010 am ehesten ernst zu nehmen sind, handelt es sich um:

• Injection
• Cross-Site Scripting (XSS)
• Broken Authentication and Session Management
• Insecure Direct Object References
• Cross-Site Request Forgery (CSRF)
• Security Misconfiguration
• Insecure Cryptographic Storage
• Failure to Restrict URL Access
• Insufficient Transport Layer Protection
• Unvalidated Redirects and Forwards

Die Top 10 des Open Web Application Security Project ist nicht die einzige Initiative, die versucht, die wichtigsten Sicherheitslücken zu priorisieren. Im Februar hatten die Institute MITRE und SANS im Auftrag mehrerer Unternehmen und Organisationen, darunter auch OWASP, die zweite Auflage ihrer 25 gefährlichsten Programmierfehler veröffentlicht. (ane)